安全公告
当前位置: >>首页 >>安全公告 >>正文
蔓灵花APT攻击预警
2016年11月17日

近日,360追日团队发布了蔓灵花攻击行动(简报),披露又一个针对中国政府能源的海外黑客攻击,受影响单位主要是涉及政府、电力和工业相关单位,该组织至今依然处于活跃状态。网络空间的争夺成为了大国博弈的焦点,随着APT对抗强度的增加,跨平台的攻击将会成为主流,而不再聚焦在单一的Windows平台,包括移动设备、智能硬件、工业控制系统、智能汽车等多种平台都会成为攻击者的目标或跳板。

蔓灵花组织经常使用鱼叉邮件攻击的手法,邮件中包含word漏洞的文档诱导用户点击,使用的漏洞是Office经典漏洞CVE-2012-0158.

低版本的word打开攻击文档后,漏洞文档中的Shellcode被执行,调用URLDownloadToFileA函数从指定的网站中下载木马程序并使用CMD重命名后执行,实现了远程控制工具的下载安装。

除了基本的漏洞文档,还有伪装成图片文件的exe,诱导用户进行点击,exe执行后释放图片并下载安装RAT程序。

Windows端后门程序目前发现的有三大类,第一类是Downloader程序,当用户触发漏洞文档时,最先从网站上下载Downloader并且执行;第二类是后门程序FileStolen,功能较简单,意在窃取文件;第三类是具有完整功能的RAT,其有各种功能,体积较大,其中有的RAT远程控制样本带有不受信任的数字签名,有的尝试伪装成Microsoft Printer Spooling Service

Android端软件会冒充正常应用,启动后上传用户信息,如固件信息,Sim卡信息,位置信息,通讯录,通话记录,短信,Email,并监视用户的操作,可以录音,监控通话,向指定号码拨打电话,打开浏览器等。

360追日团队详细的报告地址:

http://bobao.360.cn/news/detail/3747.html